GDPR is gevaar voor privacy
Foto: reuters
De Europese GDPR-wetgeving is bedoeld om onze privacy te beschermen. Maar ze kan ook een omgekeerd effect hebben, blijkt uit een nieuw onderzoek.

De General Data Protection Regulation of GDPR is sinds mei 2018 van kracht. De Europese verordening legt bedrijven strenge voorwaarden op als ze werken met gegevens van Europese burgers, en geeft die burgers ook meer controle over hun gegevens. En daar knelt het schoentje, ontdekte een onderzoeker van de Universiteit van Oxford. Hij presenteerde zijn werk tijdens Black Hat in Las Vegas, een congres over computerbeveiliging.

De onderzoeker, James Pavur, vroeg bij 150 Britse en Amerikaanse bedrijven gegevens op over een andere persoon, zijn verloofde. Hij beriep zich daarbij op de GDPR. Die geeft bedrijven een maand de tijd om op zo’n verzoek in te gaan. Wat bleek? Een kwart van de bedrijven antwoordde gewoon niet. Maar van de bedrijven die wél reageerden, controleerde een op de vier de identiteit van de aanvrager niet of onvoldoende, zodat Pavur aan gebruikersnamen, wachtwoorden, kredietkaartgegevens, reisgegevens en nog veel meer geraakte. 

Volgens Pavur is de algemene trend dat grote bedrijven goed omgaan met de GDPR: zij controleren de identiteit grondig. Supermarktketen Tesco, bijvoorbeeld, eiste een identiteitsbewijs met foto. Kleine bedrijven reageerden gewoon niet. Maar vooral bij middelgrote bedrijven liep het vaak fout: die weten wel dat ze aan de GDPR moeten voldoen, maar hebben geen geschikt controleproces ingevoerd.

Volgens de GDPR mag een bedrijf weigeren gegevens bekend te maken als de eigenaar zijn identiteit niet kan bewijzen. Maar er staat niet bij hoe die identificatie dan moet gebeuren. ‘Dat gebeurt vaak met een kopie, scan of foto van de identiteitskaart, maar dat is niet vereist’, zegt Aurelie Waeterinckx van de Belgische Gevensbeschermingsauthoriteit (GBA). Volgens Pavur moet er een duidelijke standaard komen voor identificatie bij een GDPR-aanvraag.